Design de politicas de Acesso Condicional no Entra
Guia para desenhar politicas de Acesso Condicional no Microsoft Entra: personas, sinais, modo somente relatorio e boas praticas.
O que e Acesso Condicional
O Acesso Condicional e o motor de decisao do Microsoft Entra ID. Ele funciona como uma serie de instrucoes se-entao: se um conjunto de condicoes for atendido, entao exija um controle ou bloqueie o acesso. E o mecanismo que transforma sinais brutos de identidade, dispositivo e risco em decisoes de acesso aplicaveis.
Cada politica combina tres partes:
- Atribuicoes: quem (usuarios e grupos), o que (aplicativos), e sob quais condicoes (localizacao, plataforma, risco).
- Controles de concessao: exigir MFA, exigir dispositivo em conformidade, exigir aplicativo aprovado, ou bloquear.
- Controles de sessao: limitar frequencia de login, restringir download ou aplicar acesso somente pelo navegador.
Pense em personas, nao em usuarios isolados
Politicas individuais para cada situacao viram um emaranhado impossivel de manter. A abordagem recomendada e desenhar em torno de personas de acesso: administradores, trabalhadores internos, trabalhadores externos, contas de servico, convidados e usuarios de dispositivos nao gerenciados.
Para cada persona, defina uma linha de base clara:
| Persona | Controle tipico |
|---|---|
| Administradores | MFA resistente a phishing + dispositivo em conformidade |
| Funcionarios internos | MFA + dispositivo gerenciado |
| Convidados | MFA + termos de uso |
| Contas de servico | Localizacoes confiaveis + acesso restrito |
| Dispositivos nao gerenciados | Somente navegador, sem download |
Estrutura de politicas recomendada
Em vez de dezenas de politicas sobrepostas, mantenha um conjunto enxuto e nomeado de forma consistente. Uma estrutura comum inclui:
- Bloquear autenticacao legada para todos. Esse e o ponto de partida nao negociavel.
- Exigir MFA para administradores, com metodos resistentes a phishing.
- Exigir MFA para todos os usuarios em aplicativos de nuvem.
- Exigir dispositivo em conformidade para acessar dados sensiveis.
- Politicas baseadas em risco que respondem a risco de login e de usuario.
- Controles de sessao para dispositivos nao gerenciados.
Adote uma convencao de nomenclatura previsivel, algo como persona, plataforma, controle e proposito, para que qualquer analista entenda a intencao da politica em segundos.
Sempre comece em modo somente relatorio
O maior risco ao implantar Acesso Condicional e trancar usuarios legitimos para fora. Por isso, toda nova politica deve nascer em modo somente relatorio. Nesse modo, o Entra avalia a politica e registra o que teria acontecido, sem aplicar o controle.
O fluxo seguro de implantacao e:
- Criar a politica em modo somente relatorio.
- Analisar os resultados no log de login por alguns dias.
- Ajustar exclusoes e condicoes conforme necessario.
- Ativar a politica em uma janela controlada.
- Monitorar de perto as primeiras horas.
Exclusoes que voce nao pode esquecer
Algumas exclusoes sao criticas para nao se prender para fora do proprio ambiente:
- Contas break-glass: pelo menos duas contas de emergencia excluidas de todas as politicas, com senhas longas e armazenadas com seguranca.
- Contas de sincronizacao de diretorio, quando aplicavel.
- Contas de servico que nao suportam MFA interativo, migradas idealmente para identidades gerenciadas.
Monitore essas contas excluidas com alertas dedicados, pois elas representam o maior risco residual.
Erros frequentes
- Criar politicas conflitantes que se anulam ou bloqueiam involuntariamente.
- Aplicar controles de dispositivo antes de ter o parque gerenciado pelo Intune.
- Esquecer plataformas moveis ao definir condicoes de plataforma.
- Nao documentar a intencao de cada politica, o que dificulta auditoria e revisao.
Governanca continua
Acesso Condicional exige manutencao. Estabeleca um ritual de revisao trimestral para validar exclusoes, remover politicas obsoletas e alinhar com novos aplicativos. Exporte a configuracao regularmente para versionamento, de modo que mudancas sejam rastreaveis e reversiveis.
Checklist de design
- Autenticacao legada bloqueada para todos.
- Personas de acesso mapeadas com linha de base clara.
- Toda politica testada em modo somente relatorio antes de ativar.
- Contas break-glass excluidas e monitoradas.
- Nomenclatura consistente e intencao documentada.
- Revisao trimestral de politicas e exclusoes.
A RHC, como Microsoft Solutions Partner, ajuda a desenhar conjuntos de politicas de Acesso Condicional equilibrando seguranca robusta e experiencia de usuario fluida, com implantacao faseada e monitorada.
Perguntas frequentes
Leia também
Pronto para fazer mais com a Microsoft?
Fale com um especialista e descubra como otimizar licenças, segurança e produtividade.